Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado...
Transcript of Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado...
![Page 1: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/1.jpg)
Proyecto AMPAROPresentaciones
Manual de Gestión de IncidentesTutorial LACNIC XVII
Quito-Ecuador
![Page 2: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/2.jpg)
Proyecto AMPAROCapítulo I:
“Lineamientos y Acciones recomendadas para la formación
de un CSIRT”Autor:
José Luis Chávez Cortez
![Page 3: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/3.jpg)
Información Básica Inicial
¿Qué se protege con un CSIRT? Alcance.
Publicación de Políticas y Procedimientos. Relaciones entre diferentes CSIRT. Establecimiento de medios de comunicación.
Manejo de información, procedimientos y políticas. Descripción del CSIRT. Políticas. Servicios. Formas de notificación de Incidentes.
Personal que integra un CSIRT.
![Page 4: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/4.jpg)
Información Básica Inicial
¿Qué se protege con un CSIRT?
Infraestructuras Críticas: Agricultura, Energía, Transporte, Industrias, Servicios Postales, Suministros de Agua, Salud Pública, Telecomunicaciones, Banca / Finanzas, Gobierno.
Infraestructuras de Información: Internet, Hardware, Software y Sistemas de Control.
![Page 5: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/5.jpg)
Información Básica Inicial
Manejo de información, Procedimientos y Políticas. Descripción del CSIRT. Políticas. Servicios. Formas de Notificación de Incidentes.
![Page 6: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/6.jpg)
Información Básica Inicial
Personal que integra un CSIRT. Diversidad de conocimientos tecnológicos. Personalidad: habilidad de comunicación y relación
personal. Personas dedicadas, innovadoras, detallistas, flexibles y
metódicas. Experiencia en el área de seguridad de la información. Puedan asumir funciones de: gerente, líder de equipo y/o
supervisores. Otras Funciones: personal de apoyo, redactores técnicos,
administración de redes y/o sistemas, desarrolladores, asesores, etc.
![Page 7: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/7.jpg)
Políticas de Seguridad Informática
Definición. Elementos: alcance, objetivo, identificación de roles,
responsabilidad, interacción, procedimientos, relaciones, mantenimiento, sanciones.
Parámetros para su establecimiento Razones que impidan su aplicación. Implementación, mantenimiento y ejecución. Políticas Recomendadas.
![Page 8: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/8.jpg)
Políticas de Seguridad Informática
POLÍTICAS RECOMENDADASPolítica de seguridad. Política de tratamiento de grandes
actividades.Política de clasificación de información. Política de error humano.Política de comunicación externa. Política de selección de personal.Política para la clasificación de los datos. Política de despido.Política de aislamiento de la información. Política de uso de dispositivos móviles.Política de seguridad del Internet. Política de uso del correo electrónico.Política de notificación de Incidentes. Política de entrenamiento y capacitación.Política de tratamiento de incidentes. Política de tele conmutación de la
información.Política externa para el acceso de la información.
Política de la seguridad de la computadora personal.
Política de la seguridad de la red de computadoras.
Política de la seguridad de los equipos de telecomunicaciones (Internos y Externos)
![Page 9: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/9.jpg)
Nivel de Prioridad. Escalonamiento. Proceso. Registro. Clasificación. Análisis, Resolución y Cierre. Control de Proceso. Soporte de Incidentes.
Gestión de Incidentes
![Page 10: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/10.jpg)
Nivel de Prioridad Impacto: determina la
importancia del incidente dependiendo de cómo éste afecta a los procesos de negocio y/o del número de usuarios afectados.
Urgencia: depende del tiempo máximo de demora que acepte el cliente para la resolución del incidente y/o el nivel de servicio.
Gestión de Incidentes
![Page 11: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/11.jpg)
Escalado Funcional: se requiere el
apoyo de un especialista de más alto nivel para resolver el problema.
Jerárquico: debemos acudir a un responsable de mayor autoridad para tomar decisiones que se escapen de las atribuciones asignadas a ese nivel, como, por ejemplo, asignar más recursos para la resolución de un incidente especifico.
Gestión de Incidentes
CERRAR INCIDENTE
![Page 12: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/12.jpg)
Gestión de Incidentes
Proceso
Monitorización y Seguimiento
Cierre delIncidente
![Page 13: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/13.jpg)
Registro La admisión a trámite del incidente: el Centro de Servicios debe de ser capaz de evaluar en
primera instancia si el servicio requerido se incluye en el nivel de servicio contratado del cliente y en caso contrario reenviarlo a una autoridad competente.
Comprobación de que ese incidente aún no ha sido registrado: es común que más de un usuario notifique la misma incidencia y por lo tanto han de evitarse duplicaciones innecesarias.
Asignación de referencia: al incidente se le asignará una referencia que le identificará unívocamente tanto en los procesos internos como en las comunicaciones con el cliente.
Registro inicial: se han de introducir en la base de datos asociada la información básica necesaria para el procesamiento del incidente (hora, descripción del incidente, sistemas afectados...).
Información de apoyo: se incluirá cualquier información relevante para la resolución del incidente que puede ser solicitada al cliente a través de un formulario específico, o que pueda ser obtenida de la propia base de datos de la gestión de la configuración (hardware interrelacionado), etc.
Notificación del incidente: en los casos en que el incidente pueda afectar a otros usuarios estos deben ser notificados para que conozcan como esta incidencia puede afectar su flujo habitual de trabajo.
Gestión de Incidentes
![Page 14: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/14.jpg)
Clasificación Establecimiento del nivel de prioridad: dependiendo del impacto y la
urgencia se determina, según criterios preestablecidos, un nivel de prioridad.
Asignación de recursos: si el Centro de Servicios no puede resolver el incidente en primera instancia designará al personal de soporte técnico responsable de su resolución (segundo nivel).
Monitorización del estado y tiempo de respuesta esperado: se asocia un estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y se estima el tiempo de resolución del incidente en base al nivel de servicio correspondiente y la prioridad.
Gestión de Incidentes
![Page 15: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/15.jpg)
Análisis, resolución y cierre Análisis: se examina el incidente con ayuda de la base de datos de conocimiento
para determinar si se puede identificar con alguna incidencia ya resuelta y aplicar el procedimiento asignado.
Resolución: Si la resolución del incidente se escapa de las posibilidades del Centro de Servicios éste redirecciona el mismo a un nivel superior para su investigación por los expertos asignados. Si estos expertos no son capaces de resolver el incidente se seguirán los protocolos de escalado predeterminados. Durante todo el ciclo de vida del incidente se debe actualizar la información almacenada en las correspondientes bases de datos para que los agentes implicados dispongan de cumplida información sobre el estado del mismo.
Cierre: cuando se haya solucionado el incidente se: Confirma con los usuarios la solución satisfactoria del mismo. Incorpora el proceso de resolución a la base de datos de conocimiento. Reclasifica el incidente si fuera necesario. Actualiza la información en la base de datos de gestión de configuraciones
sobre los elementos de configuración implicados en el incidente. Cierra el incidente.
Gestión de Incidentes
![Page 16: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/16.jpg)
Gestión de Incidentes CSIRT
![Page 17: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/17.jpg)
MODELOS ORGANIZACIONALES CSIRT Modelo Equipo de Seguridad. Modelo Distribuido. Modelo Centralizado. Modelo Combinado. Modelo Coordinador.
Recomendaciones para la posible inserción del CSIRT en la organización y sus posibles modelos de relación
![Page 18: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/18.jpg)
Recomendaciones para la posible inserción del CSIRT en la organización y sus posibles modelos de relación
TIPOS DE ESTRUCTURAS ORGANIZACIONALES Modelo Funcional. Modelo basado en el Producto. Modelo basado en los Clientes. Modelo Híbrido. Modelo Matricial.
![Page 19: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/19.jpg)
MODELO FUNCIONAL
Recomendaciones para la posible inserción del CSIRT en la organización y sus posibles modelos de relación
MODELO FUNCIONAL
FORTALEZASDEBILIDADES
•Permite economías de escala en los departamentos funcionales.
•Permite el desarrollo de habilidades en profundidad.
•Permite que la organización alcance sus objetivos funcionales.
•Es mejor con uno o unos cuantos productos.
•Repuesta lenta a los cambios del entorno.
•Puede hacer que las decisiones se acumulen en la parte superior, con sobrecarga de la jerarquía.
•Conduce a una mala coordinación horizontal entre departamentos.
•Da lugar a una menor innovación.
•Implica un punto de vista limitado de las metas organizacionales.
![Page 20: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/20.jpg)
MODELO BASADO EN EL PRODUCTO
Recomendaciones para la posible inserción del CSIRT en la organización y sus posibles modelos de relación
MODELO BASADO EN EL PRODUCTO
FORTALEZAS DEBILIDADES
•Descentraliza la toma de decisiones.•Se utiliza en organizaciones grandes.•Rápida adaptación de unidades de trabajo.•Permite que los problemas de coordinación e integración sean detectados lo más pronto posible y se les de una solución rápida.•Altamente recomendada para la implementación de cambios rápidos. •Se logra aislar los problemas concernientes a un producto respecto a los demás y evita que interfieran los problemas de una función con todos los productos.•Permite el empleo de equipo especializado para el manejo de materiales, así como de sistemas especializados de comunicaciones.•Satisfacción del Cliente.
•Reduce la oportunidad de utilizar equipo o personal especializado.•Entorpece la estandarización.•Coordinación deficiente entre líneas del producto.•Se entorpece la comunicación entre especialistas, ya que ahora presentan sus servicios en diferentes unidades.•Los empleados de la organización se dividen en grupos y se encarga de la producción de un producto especifico, además cada grupo tiene un especialista para cada función y un gerente que es el responsable de supervisar el proceso que se lleva a cabo para la obtención del producto o servicio y además envía un reporte al director general de la organización acerca de la evolución de este proceso, este director general es el responsable de supervisar que cada gerente realice de forma adecuada su trabajo y fija las metas de la organización.
![Page 21: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/21.jpg)
MODELO BASADO EN LOS CLIENTES
Recomendaciones para la posible inserción del CSIRT en la organización y sus posibles modelos de relación
MODELO BASADO EN EL CLIENTE
FORTALEZASDEBILIDADES
•Mejora la adaptación a las necesidades del cliente.•Descentralización del proceso de decisión.•Mejor estandarización de productos.•Satisfacción del Cliente.•Gestión de nichos de negocio de la organización.
•Dificultad de coordinación con los departamentos organizados sobre otras bases, con una constante presión de los gerentes solicitando excepciones y tratamiento especial.•En ciertas ocasiones pueden reducirse o incrementarse ciertos tipos de clientes, ya sea por recesiones económicas donde los comercios minoristas tienden a disminuir y por el contrario se incrementan los muy pequeños negocios, esto requiere más vendedores pero disminuye el grado de eficiencia de los mismos.
![Page 22: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/22.jpg)
Recomendaciones para la posible inserción del CSIRT en la organización y sus posibles modelos de relación
MODELO HÍBRIDO
MODELO HÍBRIDO
FORTALEZAS DEBILIDADES
•Coordinación entre y dentro de las líneas del producto.•Coincidencia de objetivos entre las divisiones y la central.•Eficiencia en los departamentos centralizados.•Adaptabilidad, coordinación en las divisiones.
•Se crean conflictos entre el personal corporativo y el divisional.•Altos costos administrativos.
![Page 23: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/23.jpg)
Recomendaciones para la posible inserción del CSIRT en la organización y sus posibles modelos de relación
MODELO MATRICIALMODELO MATRICIAL
FORTALEZAS DEBILIDADES
•Logra la coordinación necesaria para satisfacer las demandas duales de los clientes.•Comparte flexiblemente los recursos humanos entre productos.•Adaptada para decisiones complejas y cambios frecuentes en un entorno inestable.•Proporciona oportunidades para el desarrollo de habilidades tanto funcionales como en productos.•Es más adecuada en organizaciones de tamaño mediano con productos múltiples.•Recursos Humanos compartidos.
•Somete a los participantes a la experiencia de una autoridad dual; esto puede ser frustrante y ocasionar confusión.•Implica que los participantes necesitan buenas habilidades interpersonales y mucha capacitación.•Consume tiempo; implica frecuentes reuniones y sesiones para la solución de conflictos.•No funcionará a menos que los participantes entiendan y adopten relaciones colegiadas en lugar de tipo vertical.•Requiere grandes esfuerzos para mantener el equilibrio de poder.
![Page 24: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/24.jpg)
RECOMENDACIONES DE SEGURIDAD FISICA Y AMBIENTAL
Local Físico. Espacio y Movilidad. Tratamiento Acústico. Ambiente Climático. Instalación Eléctrica. Picos y Ruidos Electromagnéticos. Cableado. Iluminación. Seguridad Física del Local. Próximos Pasos:
Aseguramiento contra situaciones Hostiles. Control de Accesos
Recomendaciones generales respecto a la infraestructura física necesaria en las etapas iniciales.
![Page 25: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/25.jpg)
Recomendaciones generales respecto a la infraestructura física necesaria en las etapas iniciales.
CONCLUSIÓN Evaluar y controlar permanentemente la seguridad física del local es la base para
comenzar a integrar la seguridad como una función primordial dentro de cualquier organización.
Tener controlado el ambiente y acceso físico permite: Disminuir siniestros. Trabajar mejor manteniendo la sensación de seguridad. Descartar falsas hipótesis si se produjeran incidentes. Tener los medios para luchar contra accidentes.
Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del medio en el que nos desempeñamos; y así tomar decisiones sobre la base de la información brindada por los medios de control adecuados.
Estas decisiones pueden variar desde el conocimiento de la áreas que recorren ciertas personas hasta la extremo de evacuar el local en caso de accidentes.
![Page 26: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/26.jpg)
RECOMENDACIONES SOBRE ARQUITECTURA DE REDES DE UN CSIRT
Ambiente Físico. Infraestructura de Red. Hardware. Software. Infraestructura de Telecomunicaciones. Diagramas Sugeridos.
Recomendaciones generales respecto a la infraestructura física necesaria en las etapas iniciales.
![Page 27: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/27.jpg)
Ambiente Físico Áreas Administrativas: las áreas administrativas así como las salas de reuniones o
apoyo podrán ser compartidas con el resto de la organización. Áreas Operativas: tales como salas de trabajo de los equipos técnicos, sala de
servidores y sala de laboratorios son considerados ambientes críticos y deberán tener implementaciones de aspectos de seguridad física específica.
Ambientes Críticos: ambiente asilado de otros departamentos, segmentación del circuito de servicios, acceso restringido al ambiente de trabajo, obedecer la política de información del CSIRT y/u organización.
Recomendaciones: el acceso y permanencia en el local de terceras personas sea acompañado por integrantes del CSIRT y tener siempre a disposición medios de protección y prevención: extintores, sensores de humo, rociadores, circuito interno de televisión, piso falso, paredes refractarias, caja fuerte para el almacenamiento de documentos secretos, sistema empresarial de almacenaje de copias de seguridad.
Áreas Físicas Mínimas: recepción, oficina del director, cuarto de seguridad (Caja Fuerte), sala de reuniones, sala de archivos y almacenamiento de medios, salda de capacitación/entrenamiento, sala de operaciones, laboratorio, sala de servidores.
Recomendaciones generales respecto a la infraestructura física necesaria en las etapas iniciales.
![Page 28: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/28.jpg)
Infraestructura de Red La infraestructura de la red de computadores del CSIRT debe estar separada de
la infraestructura de la organización en que esté hospedada. El CSIRT debe tener una estructura propia de subredes y dominios. Red de la organización y red del CSIRT.
Se recomienda que el CSIRT tenga una estructura de red de computadores aislada, permitiendo implementar segmentos de redes con funciones específicas. Al menos deben de existir dos segmentos dentro de la red CSIRT:
Red para la operación en ambiente de producción: para el almacenaje de los datos y ejecución de las tareas relativas a los servicios.
Red para tareas de laboratorio: para la aplicación de pruebas y estudios. Las redes que se conectan con el ambiente externo (Internet) deben de ser
protegidas por medio de dispositivos de seguridad según su necesidad. (Firewall, Proxy, IDS, IPS, etc.)
Recomendaciones generales respecto a la infraestructura física necesaria en las etapas iniciales.
![Page 29: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/29.jpg)
Recomendaciones generales respecto a la infraestructura física necesaria en las etapas iniciales.
RED SEGURA SEGMENTADASEPARADA DE LA ORGANIZACIÓN
Detalles Descripción
Características• Esquema para brindar servicios reactivos y
proactivos.• Separación física de la red CSIRT y de la
organización.• Enlaces para el acceso al Internet redundantes
para la red CSIRT.• Sensores y Servidor con Sistema de Detección de
Intrusos (IDS).• Red aislada para Pruebas de laboratorio.• Tres redes diferentes.• Niveles de acceso internos regulado por los
Firewalls entre la Organización y el CSIRT.• Acceso a Internet
o Enlace de la Organización: 2 Mbps.o Enlaces redundantes CSIRT: 4 Mbps.o Enlace para red de Laboratorio: 2 Mbps.
Software• Se puede utilizar software libre.
![Page 30: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/30.jpg)
Beneficios en la implementación de un CSIRT así como su Análisis Situacional e Implementación de su Presupuesto de Inversión y Funcionamiento.
BENEFICIOS EN LA IMPLEMENTACIÓN DE UN CSIRT
• Un punto de contacto focal y confiable dentro de la comunidad para el manejo de incidentes de seguridad informática.
• Promueve un desarrollo en la utilización de infraestructura tecnológica basado en las buenas y mejores prácticas para la adecuada coordinación de la respuesta a incidentes de seguridad informática.
• Un punto especializado y asesor para la protección de las distintas actividades informáticas de los sectores que conforman su comunidad objetivo.
• Brinda información sobre vulnerabilidades y las asocia con sus respectivas recomendaciones para la su mitigación y/o control.
• Provee servicios de publicación de información eficaces con la finalidad de socializar la cultura de seguridad informática.
• Promueve y desarrolla materiales de concientización, educación y entrenamiento en variedad de temas de seguridad informática.
• Participa y comparte experiencias con equipos similares y proveedores de servicios de seguridad informática para su promoción y actualización, así como para el establecimiento de mejores estrategias para el manejo de incidentes de seguridad informática.
• Administra puntos de contacto con otros CSIRTs para respaldar las distintas estrategias de seguridad informática en un sentido más global.
• Apoya a otras instituciones que lo requieran a desarrollar capacidades propias para el manejo de incidentes así como la implantación de buenas y mejores prácticas de seguridad informática.
• Posee un equipo personal especializado en constante proceso de actualización con la intención de brindar servicios de soporte informáticos con un alto nivel de eficacia y eficiencia a los distintos requerimientos que la comunidad demande de su respectivo CSIRT.
![Page 31: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/31.jpg)
Beneficios en la implementación de un CSIRT así como su Análisis Situacional e Implementación de su Presupuesto de Inversión y Funcionamiento.
ANÁLISIS FODA GENERAL PARA UN CSIRT
ELEMENTO DESCRIPCIÓN
FORTALEZAS •Posee el respaldo de la organización que lo hospeda así como el recorrido que la misma tenga en la comunidad a la que pertenece.•Un punto focal para la notificación y tratamiento de incidentes de seguridad.•Disponibilidad de personal técnico calificado y actualizado.•Dado el conocimiento que posee su personal, el CSIRT es relevante para el proceso de educación para la seguridad y prevención de incidentes.
OPORTUNIDADES •Desarrollo de relaciones comerciales de largo plazo con los clientes.•Búsquedas de alianzas con terceros que complementen los servicios en el mercado objetivo.•Gran necesidad de coordinación de incidentes de seguridad informática.•Proyecto de interés general para todos los sectores de la sociedad.•No existe centralización en la medición de seguridad informática en el segmento de servicio.
DEBILIDADES •Experiencia.•Reconocimiento del trabajo del nuevo CSIRT.•Los sectores público y privado no tienen la prioridad ni la costumbre de asesorarse por un ente especializado en temas de seguridad informática.•Infraestructura TIC débil. Incipiente regulación de servicios informáticos.
AMENAZAS •Desaceleración de la economía mundial y local.•Rápida obsolescencia de los equipos informáticos.•Competidores ya establecidos en el mercado de la seguridad informática.•Respaldo financiero limitado.•Bajos incidentes de seguridad informática pueden desembocar en dificultar el auto sostenimiento del CSIRT.
![Page 32: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/32.jpg)
La convergencia de los sistemas multiplica exponencialmente los problemas de seguridad planteados. El equilibro es difícil, el espectro a cubrir es amplio y, como dificultad extra, el campo de trabajo es intangible. Esto hace necesario desarrollar técnicas y/o adaptar las existentes de forma tal de circunscribir nuestro trabajo de conseguir información dentro de un marco de seguridad.
Cuando se diseña un sistema se lo hace en base a su operatividad y/o funcionalidad dejando de lado la Seguridad. Será necesario establecer una pertenencia y correspondencia entre las técnicas adoptadas conformando un sistema de seguridad; y no procedimientos aislados que contribuyan al caos general existente. Esto sólo puede lograrse al integrar la seguridad desde el comienzo, desde el diseño, desde el desarrollo.
Las tecnologías involucradas en estos procesos condicionan las técnicas empleadas, los tiempos condicionan esas tecnologías y, paradójicamente, las legislaciones deben adaptarse a los rápidos cambios producidos. Esto hace obligatorio no legislar sobre tecnologías actuales, sino sobre conceptos y abstracciones que podrán ser implementados con distintas tecnologías en el presente y el futuro. Es urgente legislar un marco legal adecuado, no solo que castigue a los culpables sino que desaliente acciones hostiles futuras.
CONCLUSIONES
![Page 33: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/33.jpg)
Algunos pocos métodos realmente novedosos de infiltración ponen en jaque los sistemas de seguridad. Aquí, se prueba la incapacidad de lograr 100% de seguridad, pero también es hora de probar que los riesgos, la amenaza, y por ende los daños pueden ser llevados a su mínima expresión. Muchas veces basta con restringir accesos a información no utilizada o que no corresponde a los fines planteados. Otras veces la capacitación será la mejor herramienta para disminuir drásticamente los daños.
La seguridad es un estado mental, la seguridad perfecta requiere un nivel de perfección que realmente no existe, y de hecho dudo que algún día exista, pero los riesgos deben y pueden ser manejables.
El costo en el que se incurre suele ser bajo comparado con aquellos luego de producido un daño. El desconocimiento y la falta de información son el principal inconveniente cuando se evalúa la inclusión de seguridad como parte de un sistema.
El desarrollo de software es una “ciencia” imperfecta; y como tal es vulnerable. Es una realidad, la seguridad involucra manipulación de naturaleza humana. Hay que comprender que la seguridad consiste en tecnología y política, es decir que su combinación y su forma de utilización determina cuan seguros son los sistemas. El problema de la seguridad no puede ser resuelto por única vez, es decir que constituye un viaje permanente y no un destino.
CONCLUSIONESContinuación…
![Page 34: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/34.jpg)
Proyecto AMPAROCapítulo II:
“Tipologías de centros de respuesta”
Rubén Aquino LunaUNAM-CERT
![Page 35: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/35.jpg)
Modelos organizacionales
Decisión fundamental para un centro de respuesta a incidentes
Definición de la estructura del centro de respuesta de acuerdo aObjetivosVisiónMisión
![Page 36: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/36.jpg)
Modelos organizacionales
Factores para definir el modelo adecuadoCircunscripciónMisiónServicios que se van a proporcionarPosición en la organizaciónObligaciones y autoridadInfraestructuraFinanciamiento de la operaciónEstructura
![Page 37: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/37.jpg)
Modelos organizacionales
Modelos de referenciaEquipo de seguridadCentro de respuesta centralizadoCentro de respuesta distribuidoCentro coordinador
![Page 38: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/38.jpg)
Modelos organizacionales
Nombre del centro de respuestaNo hay ningún requisitoNombres actuales basados en la reputación
construidaAlgunos nombres frecuentes
IRTCSIRTCIRTSIRTCERT*
![Page 39: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/39.jpg)
Modelos organizacionales
CircunscipciónÁmbito de acciónDepende de los objetivosNo necesariamente es el sector al que pertenece la
organizaciónCobertura geográfica
CentralizadoDistribuido
![Page 40: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/40.jpg)
Modelos organizacionales
Misión
Definición breve, clara y precisa del propósito y función
Delinea servicios y alcance de los mismos
![Page 41: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/41.jpg)
Modelos organizacionales
ServiciosAl iniciar operaciones: respuesta a incidentes y los
necesariosAtención en sitio, coordinación de equipos, cómputo
forense, análisis de software malicioso, etc.Los servicios pueden ampliarse durante la
operaciónCasi nunca se hace sólo respuesta a incidentes
PrevenciónDetección
![Page 42: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/42.jpg)
Modelos organizacionales
Servicios
Emisión de boletines y alertas de seguridadAnálisis de vulnerabilidadesDetección de incidentesDifusión y capacitaciónImplementación de estándares y mejores prácticas
![Page 43: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/43.jpg)
Modelos organizacionales
Reportar, clasificar, asignar
Cómo se reportan los incidentes al centro de respuesta
El manejo de un incidente requiere recursos humanos y materiales
Eficacia y eficiencia dependen de estas acciones iniciales
![Page 44: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/44.jpg)
Modelos organizacionales
Reportar
Teléfono (definición de horarios, costos)Correo electrónicoFormularios webPersonalmente
![Page 45: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/45.jpg)
Modelos organizacionales
Clasificar, asignarSistema para el seguimiento de reportes de
incidentesMesa de ayuda
PropiaTerceros (buscar adecuado entrenamiento y
conocimiento del servicio)Capacitación del personal sobre la recepción,
clasificación, asignación
![Page 46: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/46.jpg)
Modelos organizacionales
AutoridadAutoridad totalAutoridad compartidaNo autoridad
DiferenciaToma de decisiones en el manejo de incidentes
Decisión de la gerencia/dirección
![Page 47: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/47.jpg)
Modelos organizacionales
Personal
Una sola persona es responsableIndependientemente de la forma del servicio: interno,
externo.Jefe o administrador y un sustituto por ausencia
![Page 48: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/48.jpg)
Modelos organizacionales
Personal (responsable)Enlace entre en centro de respuesta y la dirección
y otras unidades de la organizaciónPunto de contacto con entidades externasComunicación al interior y exterior. Evitar
situaciones de crisis por la interacción cotidianaResponsable de gestionar los recursos para el
centro de respuesta
![Page 49: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/49.jpg)
Modelos organizacionales
Personal
Características del responsable
Dominio de aspectos técnicosHabilidades de comunicación hacia el interior y el
exteriorentre otras.
![Page 50: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/50.jpg)
Modelos organizacionales
PersonalResponsable técnico
Coordinar las actividades técnicas para la respuesta a incidentes
Responsable de la calidad técnica
La imprecisión en el dominio técnico puede minar credibilidad de todo el centro de respuesta
Un incidente puede empeorar sin la capacidad técnica adecuada
![Page 51: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/51.jpg)
Modelos organizacionales
PersonalAdministración de sistemasRedes de datosProgramaciónSoporte técnicoDetección de intrusosAnálisis de vulnerabilidadesAnálisis de software maliciosoOtros particulares a la organización
![Page 52: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/52.jpg)
Modelos organizacionales
Personal (staff)Resolución de problemasExperienciaUna persona especialista en cada áreaColaboración necesaria en incidentes críticosAyuda
Programas de transferencia de conocimientoReferencias técnicas (libros, manuales, etc.)Promover su participación en otras tareas: elaboración
de contenidos, instrucción en talleres, evaluación de herramientas, etc.
![Page 53: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/53.jpg)
Modelos organizacionales
Personal (staff)Debe fomentarse
Interacción y retroalimentación sobre actividades de la organización
Conocimiento de los objetivos y misión del centro de respuesta
Intercambio con expertos de otras entidadesIntercambio de conocimiento
![Page 54: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/54.jpg)
Modelos organizacionales
Personal (staff)Habilidades
Habilidades técnicasTrabajo en equipoComunicaciónFacilidad de expresiónEscribir informes técnicos
![Page 55: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/55.jpg)
Modelos organizacionales
Personal (contratación)
EmpleadosParcialmente empleadosOutsourcing
![Page 56: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/56.jpg)
Modelos organizacionales
Selección del modelo
Disponibilidad del servicioCriticidad de la infraestructuraQué tipo de atención se requiere: 24x7, en sitio
(básica o especializada)Habilidades del personal
![Page 57: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/57.jpg)
Modelos organizacionales
Selección del modeloCostosExperiencia del personalEstructura organizacionalDivisión de responsabilidadesProtección de la información confidencialConocimiento específico sobre la organizaciónCorrelación de informaciónDiversas ubicaciones geográficas
![Page 58: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/58.jpg)
Modelos organizacionales
Dependencias dentro de la organizaciónAdministración
Establece política de respuesta a incidentesPresupuestoPersonal
Seguridad de la informaciónMonitoreo de operaciónControl sobre dispositivosNotifican sobre muchos de los incidentes
![Page 59: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/59.jpg)
Modelos organizacionales
Dependencias dentro de la organizaciónTelecomunicaciones
Incidentes con tráfico de red en el perímetroContacto con ISPsContener incidentes en el perímetro
Soporte técnicoOperación de infraestructuraAdministración de sistemas, red, desarrollo de software
![Page 60: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/60.jpg)
Modelos organizacionales
Dependencias dentro de la organizaciónDepartamento jurídico
Seguimiento a incidentesProcesos administrativosSeguimiento legalRevisión de políticas y procedimientos para ajustarse al
marco regulatorioRelaciones públicas
Proporcionar información a los mediosComunicados de acuerdo a políticas de la organizaciónComunicación inadecuada puede confundir al público y
afectar a la organización
![Page 61: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/61.jpg)
Modelos organizacionales
Dependencias dentro de la organizaciónRecursos humanos
Incidentes relacionados con abusos o faltas a normas de la organización
Planeación de la continuidad del negocioIncidentes que afectan significativamente la operación
normalIdentificación de riesgos asociados a cada activoMinimización de impacto de incidente y el manejo de
incidentes en las operaciones
![Page 62: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/62.jpg)
Modelos organizacionales
Dependencias dentro de la organizaciónSeguridad física y administración de instalaciones
Acceso a equipos en instalaciones cerradasBuscar evidenciaRealizar monitoreo de áreas específicas
![Page 63: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/63.jpg)
Equipo de respuesta
No hay centro de respuestaRespuesta a incidentes con recursos humanos y
materiales existentesQuien es responsable o administra el activo
proporciona la respuestaDifícil establecer niveles de servicioRespuesta exitosa depende de cada individuoDifícil implementar mejores prácticas y mejora
continuaNo hay independencia en el manejo de incidentes
![Page 64: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/64.jpg)
Equipo de respuesta
Características particularesNo hay estructura definidaEquipo de respuesta ad hoc a las circunstanciasNo hay centralización de reportes de incidentesResponsable del activo decide sus mecanismos
para reportar y clasificar incidentesDifícil realizar seguimiento de incidentesRetroalimentación limitadaPoca o complicada coordinación en el manejo de
incidentes
![Page 65: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/65.jpg)
Equipo de respuesta
ServiciosPrácticamente sólo respuesta a incidentesInvestigación superficial por personal con otras
obligaciones. Posibles conclusiones equivocadasNo hay servicios adicionales necesarios
Alertas de seguridadBoletines de seguridad
![Page 66: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/66.jpg)
Equipo de respuesta
RecursosNo se requieren recursos humanos adicionalesNo se requiere infraestructura adicionalProbablemente se requiera equipo para atención de
incidentes. Generalmente se identifica la necesidad luego de ocurrido un incidente.
![Page 67: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/67.jpg)
Equipo de respuesta
VentajasNo se requiere infraestructura adicional
DesventajasNo hay un único punto de contactoNo hay elementos para verificar la calidad del
servicio de respuesta a incidentesNo hay mayor beneficio de la respuesta a
incidentes para la organización
![Page 68: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/68.jpg)
Centro de respuesta a incidentes centralizado
Centro de respuesta para todos los incidentesPersonal administrativo y operativo dedicadoRespuesta a incidentes y servicios adicionalesDefinición de impulso de estrategias de seguridadModelo adecuado para organizaciones pequeñas
o con infraestructura centralizada
![Page 69: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/69.jpg)
Centro de respuesta a incidentes centralizado
Características particularesDebe estar cerca de la gerencia/administración en
la estructura de la organización. Nivel alto en toma de decisiones.
Debe contarse con personal especializadoAnálisis y recomendaciones acertadas
Puede tener asesorías/consultorías bajo demandaDeben establecerse canales adecuados para
reportar incidentesUsuarios internos y externos
![Page 70: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/70.jpg)
Centro de respuesta a incidentes centralizado
ServiciosRespuesta a incidentes y tareas asociadas
Respuesta en sitio, análisis de vulnerabilidades, análisis de software malicioso, análisis forense, seguimiento legal, etc.
Prevención y detección de incidentesDifusión y capacitaciónMecanismos de detección de incidentes para alertas
Información a la administración/gerencia de la organización
![Page 71: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/71.jpg)
Centro de respuesta a incidentes centralizado
Servicios adicionalesEvaluación de tecnologíaEvaluación de riesgosAuditorías de seguridadImplementación de mejores prácticasConsultoría
![Page 72: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/72.jpg)
Centro de respuesta a incidentes centralizado
RecursosEstructura central
Administrador/coordinador del centro de respuestaAdministrador de la infraestructura tecnológica propia
del centro de respuestaPersonal administrativoPersonal técnico para el manejo de incidentesPersonal especializado para servicios adicionalesDesarrolladores de sistemas web
![Page 73: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/73.jpg)
Centro de respuesta a incidentes centralizado
Recursos
Otros recursos humanos que podrían requerirseEditores (para todas las publicaciones)Personal de relaciones públicasPersonal jurídicoExpertos técnicos adicionales
![Page 74: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/74.jpg)
Centro de respuesta a incidentes centralizado
RecursosMateriales
Instalaciones físicasEquipo de oficinaEquipos de cómputo y telecomunicacionesProbablemente equipo de cómputo portátilEquipo para recolección de evidencia (equipo de red,
recolectores de tráfico, discos duros grandes, etc.)Equipo para almacenamiento de grandes cantidades de
información para la evidencia digital
![Page 75: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/75.jpg)
Centro de respuesta a incidentes centralizado
RecursosSistemas
Sistema de seguimiento (tracking)Software para cómputo forenseSoftware para pentestSoftware para análisis de software malicioso
![Page 76: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/76.jpg)
Centro de respuesta a incidentes centralizado
VentajasModelo establePersonal dedicadoPermite iniciativas de mejora continua
DesventajasRequiere recursos significativosRequiere cambios en la estructura de la
organizaciónEl personal no está involucrado en el ambiente de
operación
![Page 77: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/77.jpg)
Centro de respuesta a incidentes distribuido
Varios equipos de respuestaTodos los equipos conforman el centro de
respuestaPersonal de los equipos puede estar asignado a
tareas operativas. Colabora cuando hay incidentes en su área.
El personal también podría ser dedicado para el centro de respuesta
Administración/coordinación centralizadaGarantiza niveles de servicioFacilita intercambio de información
![Page 78: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/78.jpg)
Centro de respuesta a incidentes distribuido
Características particularesCerca de la dirección de la organización en la
estructuraCuenta con un administrador/directorPersonal para la administraciónEstablecer circunstancias en las cuales el personal
técnico actúa para el centro de respuestaEstablecer canales de comunicación adecuadosDefinir cómo se hará el proceso de reporte de
incidentesEn los equipos distribuidosDe manera centralizada
![Page 79: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/79.jpg)
Centro de respuesta a incidentes distribuido
ServiciosRespuesta a incidentes y tareas asociadas
Respuesta en sitio, análisis de vulnerabilidades, análisis de software malicioso, análisis forense, seguimiento legal, etc.
Prevención y detección de incidentesDifusión y capacitaciónMecanismos de detección de incidentes para alertas
Información a la administración/gerencia de la organización
Servicios adicionales dependen de la disponibilidad de personal
![Page 80: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/80.jpg)
Centro de respuesta a incidentes distribuido
RecursosAdministración central
Administrador/coordinador del centro de respuestaAdministrador de la infraestructura tecnológica propia
del centro de respuestaPersonal administrativo (al menos una persona)Analistas para el manejo de incidentes
Otros (opcionalmente)Editores (para publicaciones)Personal de relaciones públicasPersonal jurídicoExpertos técnicos adicionales
![Page 81: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/81.jpg)
Centro de respuesta a incidentes distribuido
RecursosMateriales
Instalaciones físicasEquipo de oficinaEquipos de cómputo y telecomunicacionesProbablemente equipo de cómputo portátilEquipo para recolección de evidencia (equipo de red,
recolectores de tráfico, discos duros grandes, etc.)Equipo para almacenamiento de grandes cantidades de
información para la evidencia digital
![Page 82: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/82.jpg)
Centro de respuesta a incidentes distribuido
RecursosSistemas
Sistema de seguimiento (tracking)Software para cómputo forenseSoftware para pentestSoftware para análisis de software malicioso
![Page 83: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/83.jpg)
Centro de respuesta a incidentes distribuido
VentajasServicios se implementan de manera coordinadaPersonal especializadoPersonal operativo con conocimientos
especializados de seguridadDesventajas
No es fácil de implementarProblemas para asignar nuevas responsabilidades
al personalDifícil coordinar personal con dos jefes
![Page 84: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/84.jpg)
Centro coordinador
Coordinar y facilitarRespuesta a incidentesManejo de vulnerabilidades
Circunscripción ampliaAsesoría e información a otros equipos de
respuestaIntercambio de informaciónDefinición de estrategias para mitigar impacto de
amenazasInfluencia en la toma de decisiones de diversas
organizaciones
![Page 85: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/85.jpg)
Centro coordinador
Características particularesPersonal dedicadoUbicación física centralAdministración/dirección únicaPersonal especializadoActuar como centro de coordinación para dirigir
acciones de respuesta a incidentes y amenazas a la seguridad de la información
Recolección y síntesis de información para comunicar a su circunscripción
![Page 86: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/86.jpg)
Centro coordinador
ServiciosRespuesta a incidentesApoyo y asesoría técnica
Respuesta en sitioAnálisis de vulnerabilidadesCómputo forenseAnálisis de software maliciosoSeguimiento de incidentes
No realiza todas las tareas asociadas al manejo de incidentes
Alerta sobre amenazas a la seguridad de la información
![Page 87: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/87.jpg)
Centro coordinador
Servicios adicionalesDetección proactiva de amenazasEvaluación de tecnologíaEvaluación de mejores prácticas y estándares de
seguridad de la informaciónCapacitación
Manejo de incidentesAnálisis de amenazasImplementación de tecnologíaImplementación de mejores prácticas, etc.
![Page 88: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/88.jpg)
Centro coordinador
RecursosPersonal
Administrador/coordinador del centro de respuestaAdministrador de la infraestructura tecnológica propia
del centro de respuestaPersonal administrativo (al menos una persona)Analistas para el manejo de incidentesEspecialistas en evaluación de tecnologíasExpertos en la implementación de mejores prácitasEditores (para publicaciones)Relaciones públicas
![Page 89: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/89.jpg)
Centro coordinador
RecursosMateriales
Instalaciones físicasEquipo de oficinaInstalaciones para laboratorios de pruebas, incluyendo
equipo de cómputo, telecomunicaciones, etc.Equipos de cómputo y telecomunicacionesEquipo de cómputo portátilEquipo para recolección de evidencia (equipo de red,
recolectores de tráfico, discos duros grandes, etc.)Equipo para almacenamiento de grandes cantidades de
información para evidencia digital
![Page 90: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/90.jpg)
Centro coordinador
RecursosSistemas
Sistema de seguimiento (tracking)Software para cómputo forenseSoftware para pentestSoftware para análisis de software malicioso
![Page 91: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/91.jpg)
Centro coordinador
VentajasContar con un grupo de especialistas en manejo de
incidentesExperiencia se aprovecha en varias organizaciones
DesventajasLos especialistas no están involucrados en la
operación de las organizacionesPlaneación complicadaIndependencia difícil
![Page 92: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/92.jpg)
Proyecto AMPAROCapítulo III:
“Propuesta de Especialización de Funciones en el interior de un Centro de
Respuesta”
Ing. Leonardo Vidal - CISSP
![Page 93: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/93.jpg)
Segregación de FuncionesIntroducción
Varias funciones
Modelo Organizacional actual y futuro
Identificación clara de las funciones
Una forma de organizar el trabajo
Centro de Respuesta = Equipo de Respuesta
![Page 94: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/94.jpg)
Segregación de FuncionesIntroducción
Actividades recreativas
Grupo, familias, amigos
Flexibilidades
![Page 95: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/95.jpg)
Segregación de FuncionesLas Funciones
Directorio Director Ejecutivo Comité Ejecutivo Gerente Operacional Difusión Infraestructura
![Page 96: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/96.jpg)
Segregación de FuncionesLas Funciones
Triage Documentación Capacitación y Entrenamiento Logística Investigación Legal
![Page 97: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/97.jpg)
Segregación de FuncionesLas Funciones
Gestión de incidentes Embajadores Formación Continua Comercial Financiero y Económico
![Page 98: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/98.jpg)
Descripción de Funciones
Directorio Miembros reconocidos en la comunidad Política Vinculación Apoyo Facilitador Director Ejecutivo
Integrante o invitado Frecuencia de reuniones Convocatoria grave y urgente
![Page 99: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/99.jpg)
Descripción de Funciones
Director Ejecutivo Capacidad de mando Liderazgo Motivación
Comité Ejecutivo Director pro tempore o no Si es pro tempore, fundamental que el Comité Ejecutivo
brinde una visión homogénena hacia el Centro y hacia la Comunidad Objetivo
![Page 100: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/100.jpg)
Descripción de Funciones
Director Ejecutivo
Contacto frecuente con los restantes integrantes del Centro
Reunión con algún representante del resto de los integrantes
Informe periódico al Comité Ejecutivo (si existe) o en su defecto al Directorio (si existe)
![Page 101: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/101.jpg)
Descripción de Funciones
Comité Ejecutivo
Conjunto de Directores Ejecutivos Pro tempore o no
Número impar de integrantes
Reuniones periódicas
Convocatoria grave y urgente
![Page 102: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/102.jpg)
Descripción de Funciones
Gerente Operacional Visión más general y completa de Centro pero cercana
a la actividad diaria
Nexo entre el resto de los integrantes del Centro y el Director Ejecutivo
Capacidad de mando, liderazgo y motivación
Reuniones periódicas para unificar criterios, definir próximas acciones y saber “en qué anda el otro”
![Page 103: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/103.jpg)
Descripción de Funciones
Difusión Responsable de todas las formas de comunicación con
los integrantes de la Comunidad Objetivo, otros Centros de Respuesta, prensa, entre otros.
Metas Hacer conocer la existencia del Centro Difundir a la Comunidad Objetivo información que puede
resultar de su interés Fomentar la Capacitación y Entrenamiento de los integrantes
de la Comunidad Objetivo Comunicación con: Comunidad Objetivo, otros Centros
de Respuesta, Prensa. Imagen única.
![Page 104: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/104.jpg)
Descripción de Funciones
Infraestructura Que sustenta los servicios brindados
De cara a la Comunidad Objetivo De uso exclusivo interno
Ejemplos: red, servidores, estaciones de trabajo, notebooks, laboratorio, análisis forense, análisis de artefactos, preservación de evidencia, ...
Capacitación e idoneidad Previsión para contemplar las necesidades futuras
![Page 105: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/105.jpg)
Descripción de Funciones
Triage Debe analizar los reportes de eventos o incidentes de
seguridad para clasificarlos y si corresponde, asignarlos para su gestión.
Responsabilidad única o compartida (con Gerente Operacional, con Director Ejecutivo) y según el caso.
Cualidades buscadas en el encargado del triage Capacidad de correlacionar eventos e incidentes de
seguridad Mantener la calma en momentos “complicados” Saber distinguir entre lo urgente y lo importante
![Page 106: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/106.jpg)
Descripción de Funciones
Triage Qué considerar al momento de identificar el integrante
del Centro que gestionará el incidente de seguridad Expertise del potencial candidato Carga laboral actual del candidato Carga laboral futura del candidato Expectativa de duración de la gestión del incidente a
gestionar Estado de ánimo del candidato Vinculación del candidato con quien reporta y otros posibles
integrantes de la Comunidad Objetivo que podrían estar vinculados al incidente
![Page 107: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/107.jpg)
Descripción de Funciones
Documentación Todo Centro de Respuesta maneja una importante
cantidad de información y en diferentes medios y formatos
Políticas y Procedimientos para Generarla Clasificarla Almacenarla Respaldarla Destruirla Difundirla
![Page 108: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/108.jpg)
Descripción de Funciones
Documentación
Dos grandes grupos
La que es utilizada para el funcionamiento del Centro de Respuesta
La vinculada directamente a los servicios que brinda
Por ejemplo la vinculada con un incidente de seguridad que se está gestionando
![Page 109: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/109.jpg)
Descripción de Funciones
Capacitación y Entrenamiento Cursos, talleres, seminarios, charlas Expertise en la Comunidad Objetivo
Gestión de Incidentes Crear Centros similares
Ingreso de fondos para el Centro Punto de Referencia No sólo aspecto técnicos Indentificar temáticas que pueden ser de interés para la
Comunidad Objetivo Escuchar las inquietudes de la Comunidad Objetivo
![Page 110: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/110.jpg)
Descripción de Funciones
Logística
Insumos fungibles y no fungibles
No requiere formación técnica
![Page 111: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/111.jpg)
Descripción de Funciones
Investigación
Generar información y conocimiento en el interior del Centro
Beneficio para el Centro y para la Comunidad Objetivo
Vincularse con otros Centros de Respuesta Reputación Generar confianza hacia afuera Semilla de un posible servicio futuro o mejora de uno
existente
![Page 112: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/112.jpg)
Descripción de Funciones
Legal
Profesional integrante o no del Centro de Respuesta Asesorar a quienes gestionan incidentes de seguridad
en Recolección y preservación de evidencia Redacción de informes
Reuniones periódicas entre responsable legal e integrantes técnicos del Centro de Respuesta, para difundir leyes, decretos, ordenanzas, reglamentaciones y buenas prácticas
![Page 113: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/113.jpg)
Descripción de Funciones
Gestión de Incidentes
Servicio fundamental en el Centro de Respuesta A cargo de integrantes técnicos del Centro y con el
apoyo de los restantes integrantes Quizás con la función de triage al mismo tiempo Vinculación con la Comunidad Objetivo y otros Centros
de Respuesta Informar al Gerente Operacional A gestionar incidentes se aprende gestionando
Nuevos en la función: rol de Mentor
![Page 114: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/114.jpg)
Descripción de Funciones
Embajadores Miembros temporales del Centro, para alguna actividad
puntual Permite
al embajador conocer la realidad del Centro al Centro identificar posibles futuros integrantes del mismo Contar con una persona con conocimiento profundo sobre
determinado activo afectado por un incidente de seguridad Su participación en el Centro requerirá que
previamente firme un NDA (Non-Disclosure Agreement) o Compromiso de Confidencialidad.
![Page 115: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/115.jpg)
Descripción de Funciones
Formación Continua De los integrantes del Centro Estudiar, leer, ser “curiosos”
TICs Vectores de ataques Malware Protocolos Herramientas (sniffer de paquetes, herramienta forense) Redes sociales, spam, botnets, honeypots, ...
Reuniones internas poco formales para compartir conocimiento
![Page 116: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/116.jpg)
Descripción de Funciones
Formación Continua Certificaciones internacionalmente reconocidas de
“todos” los integrantes del Centro de Respuesta
Posibles
ISC2
ISACA
PMI
![Page 117: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/117.jpg)
Descripción de Funciones
Financiero y Económico Fondos para existir
Pagas remuneraciones, leyes sociales, hardware, software, libros, insumos, local del Centro, conectividad a Internet, asistencia a conferencias, viáticos, etc.
Dos modelos y opciones intermedias Sustentación propia Por la organización que le brinda el hosting
![Page 118: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/118.jpg)
Desarrollo de Manuales y Procedimientos
Importantes para la operación del Centro y la vinculación hacia y desde “afuera”
Políticas → Procedimientos
Políticas → Procedimientos → Manuales
![Page 119: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/119.jpg)
Desarrollo de Manuales y Procedimientos
Manuales Documento donde se compendia lo sustancial sobre
determinada materia
Motivos proactivos y reactivos para elaborar nuevos y revisar manuales ya existentes
Uso de los mismos por parte de la Comunidad
Crear nuevos y analizar los existentes
![Page 120: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/120.jpg)
Desarrollo de Manuales y Procedimientos
Procedimientos Pasos a seguir para realziar determinada actividad
Se elaboran durante toda la vida del Centro
Picos y valles
Crear nuevos y analizar los existentes
![Page 121: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/121.jpg)
Diseño de un Flujograma del Proceso de Gestión de Incidentes, end to end.
Fase Pre-Incidente(no hay incidente reportado)
Fase Incidente(el incidente está siendo
gestionado)
Fase Post-Incidente(el incidente ha sido cerrado)
Informes
Documentacióninterna
Información para toda o parte de la
ComunidadObjetivo
Información para otros Centros de
Respuesta
Decisiones:Políticas
ProcedimientosCapacitación
ManualesTutoriales
Políticas, Procedimientos y
Manuales
Integrantes Y funciones
Centro de Respuesta preparado
ü Información de contactoü Mecanismo de reporte de
eventos o incidentesü Celularesü Software para servicios de
seguridad e intercambio de información
ü Sitio del Centroü Estaciones de trabajoü Laptopsü Servidoresü Equipamiento de redü Estaciones y servidores de
laboratorioü Dispositivos de
almacenamientoü Impresoraü Cámara de fotos, filmadoraü Herramientas: sniffers,
analizadores de protocolo, análisis forense
ü Herramientas “de taller”ü Insumos para preservar
evidenciaü Capacitación, formación y
entrenamientoü Estado del arte de la
seguridad y fuentes de información a las cuales recurrir
ü Mecanismos para alertar a la Comunidad Objetivo
ü Software parches para mitigar
¿Evento o incidente?
¿Incidente?
NO
SI
Se notifica al quien
reportó
SI
NO
Fases en la Gestión de un Incidente de Seguridad
Determinación(¿es un evento o un incidente de un integrante de la CO?)
Solicitud de información
Reporte
Rcepción de información
Internet Laboratorio
Documentacióninterna
!
Reuniones¿Comunidad
Objetivo?NO
SI
Se registra
Incidentede Seguridad
paragestionar
¡¡Triage!!Ciclo
de Vida
de un
Incidente
de
Seguridad
![Page 122: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/122.jpg)
Diseño de un Flujograma del Proceso de Gestión de Incidentes, end to end.
Reporte
Varias fuentes posibles :correo electrónico
IDS, IPS, IDPSfax
formulario webnota
Firewallllamada telefónica
chathabladoprensa
RSSlogsWeb
¿Origen verificado ?
Solicitar información para verificar
origen
NO
¿Evento o incidente?
SI
NO
Se le informa a quien lo reportó
Se registra la acción
¿Información proporcionada
Por medio adecuado ?
SI
Se solicita el envio de la información por medio adecuado
NO
¿Se obtiene en un plazo razonable ?
NO
SI
¿Se obtiene en un plazo razonable ?
NO
SI¿Incidente?
NO
SI
SI Incidente a
gestionar
Determinación
El objetivo es determinarde una manera y con un esfuerzo razonable, que alguien ha reportado un
evento o incidente de seguridad. Puede tratarse de
una denuncia anónima
Es importante que más allá que el reporte llegue por un
medio informal, se de la pueda validar
Si es un evento, se registrará, principalmente con fines estadísticos y se le informará a quien lo reportó de la decisión tomadaSi es un incidente de seguridad, se lo gestionará y se le informará de ello a quién lo reportó
Se le informa a quien lo reportó
Si no es un evento ni un incidente, se registrará, principalmente con fines estadísticos y se le informará a quien lo reportó de la decisión tomada
Se entiende por “plazo razonable”, una semana
Se entiende por “plazo razonable”, una semana
¿Comunidad Objetivo?
SI
NO
![Page 123: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/123.jpg)
Diseño de un Flujograma del Proceso de Gestión de Incidentes, end to end.
Incidente a gestionar
Registro
Proceso de análisis de la información recabada y
solicitud de más información
Se almacena en un servidor , la información que se conoce hasta ese momento
¿Se requiere más información de quién
lo reportó?
¿Se requiere información de otros
Centros?
¿Se requiere información de la
Comunidad Objetivo?
Se solicita información
NO
SI
SI
SI
NO
NO ¿Se obtiene la información solicitada?
SI
Se anexa a la información que ya se
dispone sobre el incidente que se está
gestionando
¿Se requiere informar a la Justicia?
NO
SI
Se elabora documento para
Legal
Se almacena el documento elaborado
2
1
Nada
4
3
2
1
3
1 2
3
1 2
3 4
Informe de Cierre
Proceso de elaboración de Informe
Devolución al Cliente
Informe Devolución al
Cliente
|
Proceso de elaboración
de Informe de Cierre
Se envía Informe
Devolución al Cliente
Se envía información a la Justicia
Incidentey Post-Incidente
![Page 124: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/124.jpg)
Referencias
M. West-Brown, D. Stikvoort, K. Kossakowski, G. Killcrece, R. Ruefle y M. Zajicek, Handbook for Computer Security Incident Response Teams (CSIRTs), abril 2003, http://www.cert.org/archive/pdf/csirt-handbook.pdf.
Forum of Incident Response and Security Teams, http://www.first.org.
FIRST Technical Colloquia, http://www.first.org/events/colloquia.
ISACA, http://www.isaca.org. International Information Systems Security Certification
Consortium, Inc., http://www.isc2.org. Project Management Institute, http://www.pmi.org.
![Page 125: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/125.jpg)
Proyecto AMPAROCapítulo III:
“Propuesta de Especialización de Funciones en el interior de un Centro de
Respuesta”
Ing. Leonardo Vidal - CISSP
![Page 126: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/126.jpg)
Proyecto AMPAROCapítulo III:
“Propuesta de Políticas y Procedimientos Principales para la
Operación de un Centro de Respuesta a Incidentes de Seguridad Informática”
Ing. Leonardo Vidal - CISSP
![Page 127: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/127.jpg)
Objetivos
Realizar propuestas de
Código de Ética
Política de Seguridad Lógica
Política de Seguridad Física y Ambiental
Política de Gestión de Incidentes
![Page 128: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/128.jpg)
Código de Ética
CoE, Code of Ethics
Definiciones La ética es el “conjunto de normas morales que rigen la
conducta de la persona en cualquier ámbito de la vida.” Una norma es una “regla que se debe seguir o a que se
deben ajustar las conductas, tareas, actividades, etc.” La moral es una “doctrina del obrar humano que pretende
regular de manera normativa el valor de las reglas de conducta y los deberes que estas implican.”
Un valor es el “grado de utilidad o aptitud de las cosas, para satisfacer las necesidades o proporcionar bienestar o deleite”.
![Page 129: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/129.jpg)
Código de Ética
Objetivos
Fomentar la ética en sus integrantes
Incentivar el comportamiento ético uniforme
Alentar a un comportamiento similar de parte de sus pares y de los integrantes de la Comunidad Objetivo
Fortalecer la imagen del Centro de Respuesta y de cada uno de sus integrantes
![Page 130: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/130.jpg)
Código de Ética
Lineamientos generales para elaborarlo
Lenguaje
Moral
Aceptación
![Page 131: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/131.jpg)
Código de Ética
Valores morales
Valor moral es todo aquello que lleve al hombre (y a la mujer) a defender y crecer en su dignidad de persona.
El valor moral conduce al bien moral.
Se le considera como un bien pues nos mejora, perfecciona, completa.
Encuesta para seleccionar cuáles incluir.
![Page 132: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/132.jpg)
Código de Ética
Valores morales Respeto Honestidad Solidaridad Responsabilidad Crítica constructiva Gratitud Optimismo Superación
Voluntad Innovación Paciencia Amabilidad Empatía Sencillez Profesionalismo Alegría
![Page 133: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/133.jpg)
Política de Seguridad Lógica
La Seguridad Lógica en un Centro de Respuesta es la seguridad en el uso del software y los sistemas, la protección de los datos, procesos y programas así como la del acceso ordenado y autorizado de los usuarios a la información. Involucra todas aquellas medidas establecidas para minimizar los riesgos de seguridad asociados con sus operaciones cotidianas llevadas a cabo utilizando las tecnologías de la información y la comunicaciones. La correcta implementación de las mismas colaborará para la adecuada operación del Centro.
![Page 134: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/134.jpg)
Política de Seguridad Lógica
La información, como recurso valioso de una organización, esta expuesta a actos tantos intencionales como accidentales de violación de su confidencialidad, alteración, borrado y copia, por lo que se hace necesario que el usuario, propietario de esa información, adopte medidas de protección contra accesos no autorizados.
![Page 135: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/135.jpg)
Política de Seguridad Lógica
La información, como recurso valioso de una organización, esta expuesta a actos tantos intencionales como accidentales de violación de su confidencialidad, alteración, borrado y copia, por lo que se hace necesario que el usuario, propietario de esa información, adopte medidas de protección contra accesos no autorizados.
“Todo lo que no está permitido está prohibido”
![Page 136: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/136.jpg)
Política de Seguridad Lógica
Objetivo
Establecer las pautas a seguir a los efectos de resguardar el acceso a los datos y que sólo se permita acceder a ellos a las personas autorizadas para hacerlo.
Alcance
Todos los datos en el Centro de Respuesta y los integrantes del mismo.
![Page 137: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/137.jpg)
Política de Seguridad Lógica
Contenido Sistemas y aplicaciones del Centro
Administradores Red donde se encuentran instalados No un solo administrador Control de régimen de licencias y ausencias programadas Cantidad de usuarios definidos; revisión periódica Vulnerabilidades; revisión periódica
![Page 138: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/138.jpg)
Política de Seguridad Lógica
Contenido Seguridad perimetral
Deberá contar con IDS (Intrusion Detection System) IPS (Intrusion Prevention System) Firewall de capa 3 y 4 Firewall de aplicaciones Sistema Antimalware
Logs de los sistemas anteriores Sincronismo de los sistemas anteriores Analizar los logs
![Page 139: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/139.jpg)
Política de Seguridad Lógica
Contenido Investigación
Se deberá realizar en infraestructura propia no compartida Laboratorio
Se deberá realizar en infraestructura propia no compartida Contraseñas “administrador”
Sólo conocidas por quienes realmente las requieren para trabajar
No deben ser las mismas para todos los sistemas Se deben modificar periódicamente Respetar un formato básico de “fortaleza”
![Page 140: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/140.jpg)
Política de Seguridad Lógica
Contenido Contraseñas “usuarios”
Sólo conocidas por su dueño No deben ser las mismas para todos los sistemas Se deben modificar periódicamente Respetar un formato básico de “fortaleza”
Contraseñas No disponibles para terceros Implementar en los sistemas críticos mecanismos de
chequeo de fortaleza de las contraseñas
![Page 141: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/141.jpg)
Política de Seguridad Lógica
Contenido “Mínimo privilegio” Actualización de firmas Verificación periódica de la actualización automática
del Sistema Antimalware Bloqueos de cuentas ante sucesivos intentos fallidos Sistemas operativos a utilizar
Niveles de seguridad adecuados Capacidad de administración por parte de los integrantes del
Centro Correcta prestación de los servicios que brindan
![Page 142: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/142.jpg)
Política de Seguridad Física y Ambiental
Análisis de Riesgos
Probabilidad de ocurrencia
Severidad
Controles para mitigarlos
Objetivo: Área Segura
![Page 143: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/143.jpg)
Política de Seguridad Física y Ambiental
Riesgos Seguridad Física
Derrumbe total o parcial
Atentados
Vandalismo
Huelgas
![Page 144: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/144.jpg)
Política de Seguridad Física y Ambiental
Riesgos Seguridad Ambiental Fuego Humo Inundación Humedad Temperatura Falla del sistema de ventilación o del sistema de aire
acondicionado Desastres naturales: sismos, huracanes, ciclones,
tornados, tormentas, rayos
![Page 145: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/145.jpg)
Política de Seguridad Física y Ambiental
Controles
Físicos
Técnicos
Administrativos
Ambientales
![Page 146: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/146.jpg)
Política de Seguridad Física y Ambiental
Controles Físicos
Guardias Muros Cercas eléctricas Rejas Iluminación Cerraduras
![Page 147: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/147.jpg)
Política de Seguridad Física y Ambiental
Controles Técnicos
Cámaras Lectores de tarjetas de acceso Identificadores biométricos Detectores de movimiento Alarmas sonoras y visuales Detectores de apertura de puertas o ventanas
![Page 148: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/148.jpg)
Política de Seguridad Física y Ambiental
Controles Administrativos
Elección adecuada del sitio Inventarios y su control periódico Registros o logs de los accesos al sitio y su análisis Control de las personas que acceden Escritorios de recepción y de validación de
credenciales y asistencia
![Page 149: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/149.jpg)
Política de Seguridad Física y Ambiental
Controles Ambientales Detectores de humo Detectores de agua Detectores de cambios importantes de la temperatura del aire Detectores de cambio importante en la humedad Sensores de contaminación del aire Inspecciones por parte de personal del Cuerpo de Bomberos Materiales de construcción no inflamables Cableado eléctrico no inflamable y en ductos adecuados Adecuados extintores portátiles
![Page 150: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/150.jpg)
Política de Seguridad Física y Ambiental Texto de la propuesta
Contenido Realizar un Análisis de Riesgos y repetirlo con una
periodicidad no mayor a 2 años Conjunto mínimo de riesgos a considerar Se deberá implementar, como mínimo:
Clara delimitación de la frontera del medio Impedir el fácil acceso Almacenamiento de lo registrado por las cámaras de
seguridad Iluminación que permita en todo momento y circunstancia la
correcta visualización de lo que ocurre
![Page 151: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/151.jpg)
Política de Gestión de Incidentes
La Politica de Gestión de Incidentes documenta los lineamientos fundamentales a respetar para cumplir adecuadamente con el principal servicio de un Centro de Respuesta.
Por tratarse del servicio que le da la razón de existir al Centro, requiere especial atención documentar su política y todos los procedimientos asociados.
![Page 152: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/152.jpg)
Política de Gestión de Incidentes
Consideraciones previas
Expectativas
Proactivo: Prevenir incidentes de seguridad
Reactivo: Responder incidentes de seguridad
Aprender de lo ocurrido
![Page 153: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/153.jpg)
Política de Gestión de Incidentes
La Gestión de Incidentes de Seguridad es el conjunto de todas las acciones, medidas, mecanismos, recomendaciones, tanto proactivos como reactivos, tendientes a evitar y eventualmente responder de manera eficaz y eficiente a incidentes de seguridad que afecten activos de una organización minimizando su impacto en el negocio y la probabilidad de que se repita.
![Page 154: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/154.jpg)
Política de Gestión de Incidentes
Fase Pre-Incidente(no hay incidente reportado)
Fase Incidente(el incidente está siendo
gestionado)
Fase Post-Incidente(el incidente ha sido cerrado)
Informes
Documentacióninterna
Información para toda o parte de la
ComunidadObjetivo
Información para otros Centros de
Respuesta
Decisiones:Políticas
ProcedimientosCapacitación
ManualesTutoriales
Políticas, Procedimientos y
Manuales
Integrantes Y funciones
Centro de Respuesta preparado
ü Información de contactoü Mecanismo de reporte de
eventos o incidentesü Celularesü Software para servicios de
seguridad e intercambio de información
ü Sitio del Centroü Estaciones de trabajoü Laptopsü Servidoresü Equipamiento de redü Estaciones y servidores de
laboratorioü Dispositivos de
almacenamientoü Impresoraü Cámara de fotos, filmadoraü Herramientas: sniffers,
analizadores de protocolo, análisis forense
ü Herramientas “de taller”ü Insumos para preservar
evidenciaü Capacitación, formación y
entrenamientoü Estado del arte de la
seguridad y fuentes de información a las cuales recurrir
ü Mecanismos para alertar a la Comunidad Objetivo
ü Software parches para mitigar
¿Evento o incidente?
¿Incidente?
NO
SI
Se notifica al quien
reportó
SI
NO
Fases en la Gestión de un Incidente de Seguridad
Determinación(¿es un evento o un incidente de un integrante de la CO?)
Solicitud de información
Reporte
Rcepción de información
Internet Laboratorio
Documentacióninterna
!
Reuniones¿Comunidad
Objetivo?NO
SI
Se registra
Incidentede Seguridad
paragestionar
¡¡Triage!!Ciclo
de Vida
de un
Incidente
de
Seguridad
![Page 155: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/155.jpg)
Política de Gestión de Incidentes
Proactividad
Sustentada en
Sensibilización
Capacitación y entrenamiento
Tests de Penetración
Auditorías
Fase Pre-Incidente(no hay incidente reportado)
Políticas, Procedimientos y
Manuales
Integrantes Y funciones
Centro de Respuesta preparado
ü Información de contactoü Mecanismo de reporte de
eventos o incidentesü Celularesü Software para servicios de
seguridad e intercambio de información
ü Sitio del Centroü Estaciones de trabajoü Laptopsü Servidoresü Equipamiento de redü Estaciones y servidores de
laboratorioü Dispositivos de
almacenamientoü Impresoraü Cámara de fotos, filmadoraü Herramientas: sniffers,
analizadores de protocolo, análisis forense
ü Herramientas “de taller”ü Insumos para preservar
evidenciaü Capacitación, formación y
entrenamientoü Estado del arte de la
seguridad y fuentes de información a las cuales recurrir
ü Mecanismos para alertar a la Comunidad Objetivo
ü Software parches para mitigar
![Page 156: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/156.jpg)
Política de Gestión de Incidentes
Reactividad Sustentada en
Comprender el incidente Identificar las vulnerabilidades involucradas Aislarlas Analizar los artefactos involucrados Recuperar los sistemas afectados Verificar que ya no son vulnerables por lo menos a lo que
ocasionó el incidente Asesorar a la organización afectada sobre cómo gestionar la
información vinculada al incidente La eventual recolección y preservación de evidencia para una
posible instancia judicial.
![Page 157: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/157.jpg)
Política de Gestión de Incidentes
Reactividad Fase Incidente(el incidente está siendo
gestionado)
¿Evento o incidente?
¿Incidente?
Se notifica al quien
reportó
SI
NO
Determinación(¿es un evento o un incidente de un integrante de la CO?)
Solicitud de información
Reporte
Rcepción de información
Internet Laboratorio
Documentacióninterna
!
¿ComunidadObjetivo?
SI
Se registra
Incidentede Seguridad
paragestionar
¡¡Triage!!
![Page 158: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/158.jpg)
Política de Gestión de Incidentes
Luego de la tormenta... Fase Post-Incidente(el incidente ha sido cerrado)
Informes
Documentacióninterna
Información para toda o parte de la
ComunidadObjetivo
Información para otros Centros de
Respuesta
Decisiones:Políticas
ProcedimientosCapacitación
ManualesTutoriales
Reuniones
![Page 159: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/159.jpg)
Política de Gestión de Incidentes
Definiciones
Evento toda ocurrencia observable en un sistema
Incidente de seguridad una violación o una amenaza de violación inminente
(intencional o no) a las políticas de seguridad y/o a las políticas de uso aceptable de una organización
![Page 160: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/160.jpg)
Política de Gestión de Incidentes
Ejemplos de Eventos enviar un correo electrónico enviar SPAM recibir un GET en un servidor Web enviar un SMS no dejar pasar un segmento TCP SYN en un firewall recibir un SMS con propaganda no solicitada dejar pasar un segmento TCP SYN en un firewall
![Page 161: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/161.jpg)
Política de Gestión de Incidentes
Ejemplos de Incidentes de Seguridad acceso no autorizado a un sistema
Por elevación de privilegios Por acceso al archivo de passwords
DoS (Denial of Service) Envío de paquetes malformados Flooding de ICMP
sabotaje uso inapropiado de algún sistema
Amenazas vía correo electrónico o vía SMS Servidor de una organización como repositorio de videos no
vinculados al trabajo
![Page 162: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/162.jpg)
Política de Gestión de Incidentes
Ejemplos de Incidentes de Seguridad actividades de Ingeniería Social fraude distribución de algún malware
Gusano Virus
combinación de algunos de los anteriores enviar un correo electrónico
![Page 163: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/163.jpg)
Referencias
G. Killcrece, K. Kossakowski, R. Ruefle y M. Zajicek, State of the Practice of Com-puter Security Incident Response Teams (CSIRTs), octubre 2003. En línea: http://www.cert.org/archive/pdf/03tr001.pdf.
Internet Security Systems, Computer Security Incident Response Planning - Pre-paring for the Inevitable. En línea: http:// documents.iss.net/whitepapers/csirplanning.pdf.
N. Brownlee y E. Guttman, Expectations for Computer Security Incident Re-sponse, junio 1998. En línea: http://www.rfc-editor.org/rfc/rfc2350.txt.
![Page 164: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/164.jpg)
Referencias
R. Shirey, Internet Security Glossary, Version 2, agosto de 2007. En línea: http://www.rfc-editor.org/rfc/rfc4949.txt.
K. Scarfone, T. Grance y K. Masone, Computer Security Incident Handling Guide – Revision 1, marzo de 2007. En línea: http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf.
T. Wright, How to Design a Useful Incident Response Policy, octubre 2001. En línea: http://www.securityfocus.com/infocus/1467.
![Page 165: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/165.jpg)
Política de Protección de la InformaciónPropuesta
Confidencial El acceso a la misma en forma remota deberá ser asegurando la
confidencialidad y la integridad utilizando algunos de los siguientes protocolos: https, sftp o ssh.
De requerirse, la transmisión de información secreta será cifrada con clave pública de largo mínimo de 1024 bits.
Podrá almacenarse en estaciones de trabajo, servidores, notebooks o dispositivos de almacenamiento portátiles, asegurando confidencialidad con clave de largo mínimo de 1024 bits.
No podrá almacenarse en sistemas remotos propietarios de los integrantes del Centro.
No debe ser comentada con ninguna persona ajena al Centro de Respuesta.
![Page 166: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/166.jpg)
Política de Protección de la InformaciónPropuesta
Uso interno Cuando se trata de información en formato lógico, el nombre del
mismo, el valor de la última versión, la fecha de creación, la fecha de hecho público y el valor del hash se deberá almacenar en un dispositivo de almacenamiento en una caja fuerte instalada dentro del sitio del Centro.
Cuando se trata de información en formato físico, la misma no podrá salir del sitio del Centro de Respuesta.
La información de uso interno no debe ser difundida fuera del ámbito del Centro de Respuesta.
Deberá existir control de acceso a la misma. El acceso a la misma en forma remota deberá ser asegurando la
confidencialidad y la integridad. En sistemas remotos propietarios de los integrantes del Centro sólo
podrá ser almacenada cifrada con clave de largo mínimo de 1024 bits.
No debe ser comentada con ninguna persona ajena al Centro de Respuesta.
![Page 167: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/167.jpg)
Política de Protección de la InformaciónPropuesta
Pública Cuando se trata de información en formato lógico, el
nombre del mismo, el valor de la última versión, la fecha de creación, la fecha de hecho público y el valor del hash se deberá almacenar en un dispositivo de almacenamiento en una caja fuerte instalada dentro del sitio del Centro.
Cuando se trata de información en formato físico, para que sea considerada válida y auténtica, siempre debe existir la misma información en formato lógico según lo expresado en el párrafo anterior.
![Page 168: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/168.jpg)
Política de Difusión de la InformaciónPropuesta
Objetivo Determinar, para toda la información que gestiona el
Centro de Respuesta, a quienes se puede difundir, utilizando qué métodos y con qué mecanismos de protección.
Alcance Aplica a toda la información que gestione el Centro de
Respuesta. En este contexto gestionar información implica alguna de las siguientes acciones con la información: recibir, procesar, almacenar, destruir, generar y enviar.
![Page 169: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/169.jpg)
Política de Difusión de la InformaciónPropuesta
Contenido
Información recibida
Toda la Información recibida en el Centro de Respuesta deberá preservar la clasificación otorgada por quién la generó. Una disminución del nivel de clasificación deberá requerir que previamente quien la haya generado otorgue por escrito el consentimiento correspondiente.
Toda la información asociada a la gestión de un incidente de seguridad o a un evento será clasificada como confidencial.
![Page 170: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/170.jpg)
Política de Difusión de la InformaciónPropuesta
Contenido
Información procesada
Toda información procesada en el Centro de Respuesta deberá ser clasificada de acuerdo a lo expresado en la Política de Clasificación de la Información.
Toda la información procesada en el Centro de Respuesta deberá preservar la clasificación otorgada por quién la generó y respetar las condiciones de difusión por él expresadas. El cambio de algunas de estas condiciones deberá requerir que a priori se obtenga un consentimiento por escrito que lo autorice.
![Page 171: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/171.jpg)
Política de Difusión de la InformaciónPropuesta
Contenido
Información almacenada Ver Política de Almacenamiento de la Información.
Información destruida Ver Política de Destrucción de la Información.
Información generada Toda la información generada en el Centro deberá tener
explicitada su clasificación en base a la Política de Clasificación de la Información.
![Page 172: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/172.jpg)
Política de Difusión de la InformaciónPropuesta
Contenido
Información enviada Si se trata de información generada en el Centro, se deberá
difundir explicitando la clasificación de la misma. Quien envía la información, siempre debe verificar que el
destinatario es quien se desea y que es correcto que sea recibida por él.
Si se trata de difusión de información generada por personas o sistemas externos al Centro de Respuesta y se requiere por parte del destinatario de la misma conocer su origen, previo a informarlo se debe contar con el visto bueno por escrito de tal autorización.
![Page 173: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/173.jpg)
Política de Difusión de la InformaciónPropuesta
Contenido Información clasificada como “confidencial” o
“secreta” Vía red Vía dispositivo de almacenamiento Vía papel
Información con destino Judicial “confidencial” o “secreta” Responsable Legal, Director Ejecutivo Registro
![Page 174: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/174.jpg)
Política de Difusión de la InformaciónPropuesta
Contenido Información ni “confidencial” ni “secreta”
Asegurar que haya llegado al destino
Información para la prensa Con solicitud previa por escrito Análisis de la respuesta a cargo de: Director Ejecutivo,
Gerente Operacional, Responsable de Difusión y Responsable Legal.
Control de integridad de la respuesta. Registro
![Page 175: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/175.jpg)
Política de Difusión de la InformaciónPropuesta
Contenido Información ni “confidencial” ni “secreta”
Asegurar que haya llegado al destino
Información para la prensa Con solicitud previa por escrito Análisis de la respuesta a cargo de: Director Ejecutivo,
Gerente Operacional, Responsable de Difusión y Responsable Legal.
Control de integridad de la respuesta. Registro
![Page 176: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/176.jpg)
Política de Guarda de la InformaciónPropuesta
Objetivo
Establecer, para toda la información que se almacena el Centro de Respuesta, qué tipos de protección y control se deben implementar.
Alcance
Comprende a toda la información almacenada en el Centro de Respuesta.
![Page 177: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/177.jpg)
Política de Guarda de la InformaciónPropuesta
Contenido
Respaldo de la información
Procedimiento de Respaldo de la Información
Sitio de respaldo
![Page 178: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/178.jpg)
Política de Guarda de la InformaciónPropuesta
Contenido Información crítica
Aquella que en caso de verse comprometida en cuanto a alguna de sus propiedades de seguridad, afectaría seriamente al dueño de la misma
Según sección “Información Crítica” del Procedimiento de Respaldo de Información
Sistemas críticos Aquel que en caso de verse comprometido en cuanto a
alguna de sus propiedades de seguridad, afectaría seriamente la operación del Centro de Respuesta
Según sección “Sistemas Críticos” del Procedimiento de Respaldo de Información
![Page 179: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/179.jpg)
Política de Guarda de la InformaciónPropuesta
Contenido Información “secreta” o “confidencial” es estaciones
de trabajo y servidores Cifrado
Información “secreta” o “confidencial” En papel o unidad de almacenamiento (CD, DVD, pendrive)
en caja fuerte propiedad del Centro instalada en su sitio físico Aquel que en caso de verse comprometido en cuanto a
alguna de sus propiedades de seguridad, afectaría seriamente la operación del Centro de Respuesta
Según sección “Sistemas Críticos” del Procedimiento de Respaldo de Información
![Page 180: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/180.jpg)
Política de Guarda de la InformaciónPropuesta
Contenido Cada documento de gestión del Centro
Generar dos hashes con funciones de hash distintas y los valores guardados en una unidad de almacenamiento exclusiva, dentro de caja fuerte propiedad del Centro instalada en su sitio físico
Notebooks Dispositivos de almacenamiento con contenido cifrado
Servidores Redundancia e integridad
Información de incidentes gestionados retenida, al menos tres años a partir de la apertura del
mismo.
![Page 181: Proyecto AMPARO Presentaciones Manual de Gestión de ... Gestion Incidentes Seguridad.pdf · estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y](https://reader036.fdocuments.mx/reader036/viewer/2022062413/5b360d217f8b9a436d8dd091/html5/thumbnails/181.jpg)
Referencias
ISO/IEC TR 18044:2004. Gestión de incidentes de la seguridad de la información.
ISO/IEC 27001:2005. Sistemas de Gestión de la Seguridad de la Información – Requisitos.
ISO/IEC 27002:2005(17799). Código de buenas prácticas para la gestión de la seguridad de la información.